Специалисты Центра экстренного реагирования на киберугрозы (ASEC) компании AhnLab Security зафиксировали новую волну распространения вредоносной программы ChromeLoader. На этот раз злоумышленники сменили тактику маскировки: вместо привычных образов оптических дисков ISO они используют файлы виртуальных жёстких дисков (VHD). Такой формат реже вызывает подозрение у антивирусов и пользователей, поэтому исследователи назвали кампанию нетипичной.
Приманка — «взломанные» игры
Вредоносные VHD-файлы выдают себя за кряки и хаки для популярных игр на платформах Nintendo и Steam. Среди зафиксированных названий файлов:
- ELDEN RING Free Download (v1_08_1).vhd
- Dark Souls 3 [FitGirl Repack]_part1_rar.vhd
- Red Dead Redemption 2 Free Download (v1_0_1436_28).vhd
- Need for Speed Carbon Collectors Edition.vhd
- Call of Duty Deluxe Edition.zip.vhd
- Portal 2 v2023_01_17.zip.vhd
- Minecraft – Story Mode Complete Season.vhd
- ROBLOX Doors Script/Hack/Spawn Enti....vhd
- The Legend of Zelda: Breath of the Wild SWITCH.vhd
- Pokemon Ultra Moon Update 1.2 [Decrypted] 3DS.vhd
- Animal Crossing New Horizons Switch NSP/NSZ/XCI.vhd
- Mario Kart 8 Deluxe (NSP) (Booster Course DLC).vhd
- Super Mario Odyssey Switch NSP+ Update Free Download.vhd
- Microsoft Office 2010 Free Download.vhd
- Adobe Photoshop 2023 Free Download.vhd
Расчёт простой: геймеры, ищущие бесплатные версии игр или пиратский софт, сами скачивают и открывают заражённый файл.
Как устроена атака
Внутри VHD-образа скрыт целый набор файлов, но пользователь видит только один — ярлык Install.lnk. Все остальные компоненты помечены как скрытые, поэтому при обычном просмотре содержимого диска они не отображаются.
Именно Install.lnk запускает цепочку заражения: он вызывает пакетный файл properties.bat, который, в свою очередь, командой tar распаковывает архив files.zip в каталог %AppData%. После этого вредонос закрепляется в системе.
Чем опасен ChromeLoader
Главная цель ChromeLoader — браузер Google Chrome. Получив к нему доступ, вредонос меняет настройки браузера и перенаправляет трафик пользователя на подконтрольные злоумышленникам сайты. Основной мотив — заработок на кликах по рекламе и другой мошеннической активности, но этим ущерб не ограничивается: атакующие могут получить доступ к конфиденциальным данным пользователя.
Аналитики отмечают ещё один канал распространения: при поиске в Google по названиям файлов из списка выше в топ выдачи попадают сайты, раздающие нелегальный софт, — именно через них киберпреступники и продвигают заражённые VHD-образы.
ChromeLoader (также известен под именами Choziosi Loader и ChromeBack) впервые появился в январе 2022 года как относительно простой похититель учётных данных, встроенный в браузер. С тех пор вредонос заметно эволюционировал и теперь способен не только красть данные, но и разворачивать программы-вымогатели, а также сбрасывать «декомпрессионные бомбы» — архивы, которые при распаковке резко расходуют ресурсы системы.
Как защититься
Эксперты AhnLab советуют придерживаться базовой цифровой гигиены: не переходить по подозрительным ссылкам, скачивать программное обеспечение только из официальных источников и избегать файлов из непроверенных мест — в том числе тех самых «крякнутых» версий игр и коммерческого софта. Эти простые меры заметно снижают риск случайно установить вредонос вроде ChromeLoader.
Источник: Cybersecurity News.